Традиционно системный администратор объединял в себе все текущие функции управления доменом. Он создавал и удалял пользователей, добавлял компьютеры в домен, следил за членством в группах и т. п. Большинство таких рутинных операций без ущерба для функционирования сети может быть переложено на других сотрудников. Например, новые учетные записи пользователей в соответствующем подразделении могут создаваться сотрудником кадровой службы при оформлении приема на работу; компьютеры в домен добавляться сотрудниками технической службы сервиса; разработка групповых политик, предусматривающих установку специализированных программ, вестись техническими специалистами соответствующего отдела; добавление пользователей в группы безопасности — сотрудниками подразделений безопасности и т. п. При этом за администратором предприятия сохранились бы все руководящие функции для возможных экстренных вмешательств, но "освободились руки" для подготовки и реализации стратегических решений.
Для того чтобы осуществить на практике такую передачу прав, которую принято называть делегированием, администратору достаточно изменить разрешения безопасности на соответствующий контейнер. Так, если необходимо делегировать кому-либо право создания пользователей, то этому сотруднику следует дать право на создание объекта типа "пользователь" в заданном подразделении. При этом перечень возможных прав доступа для контейнера является настолько подробным, что администратор без труда может настроить объем делегирования (например, дать право добавления в домен компьютеров, но лишить возможности изменения или удаления таких объектов). Делегирование прав создания учетных записей позволит более тесно "связать" кадровые записи и записи служб каталогов. Учетная запись в этом случае может иметь только минимальные начальные права для входа в систему. Предоставление дальнейших прав по доступу к ресурсам (изменение членства в группах) могут осуществлять менеджеры соответствующих групп. Большинство утилит графического управления объектами службы каталогов содержат в меню команду делегирования прав. Эта команда вызывает мастер, который меняет список прав доступа . Запуск данного мастера является самым простым способом делегирования прав на объекты. Но при этом администратору следует учитывать два момента.
Во-первых, всегда можно более точно откорректировать права доступа, если обратиться к редактированию параметров безопасности контейнера напрямик.
Во-вторых, хотя мастер делегирования прав присутствует в системе, но мастера отзыва прав не предусмотрено. Иными словами, если, например, необходимо передать право управления от одного сотрудника другому, то администратору придется вначале вручную исключить первого из списка доступа.
